INFORME DE SERVICIO
C-TECH
ADMINISTRACIÓN MENSUAL
WEB APPLICATION FIREWALL
ITSEC Logo
BLUE TEAM
WWW.Cliente.CL
CLIENTE: cliente
FECHA: 02-02-2024
Logo ITSEC

WAF

El servicio de seguridad Cloud WAF de ITSec tiene como objetivo proveer de protección al aplicativo web de los diversos ataques que son realizados desde cualquier punto del internet, con el fin de garantizar que sus servicios se mantengan seguros y disponibles.

El servicio se basa en una configuración de alta disponibilidad, con una arquitectura diseñada para inspeccionar los patrones y firmas de ataques en distintos niveles de red, tomando medidas mitigatorias en tiempo real a los nodos que tienen actividades maliciosas con el servicio. Esta solución es Cloud, siendo transparente para los servicios del cliente.

INFORMACIÓN DEL SERVICIO

RESPONSABLE DEL SERVICIOREALIZADO PORFECHA DE ELABORACIÓN
Cloud Technologies01-02-2024

HISTORIAL DE REVISIONES

VERSIÓNREVISORFECHA
ACloud Technologies03-02-2024
1.0PMO

LISTA DE DISTRIBUCIÓN

DIRIGIDO AEMPRESA
Nombre
NombreNombre empresa
Nombre
Nombre
Franklin MartínezITSec S.A.
Cloud Technologies
INFORME DE SERVICIO C-TECH CONFIDENCIAL

TABLA DE CONTENIDO

  1. Acuerdo de Confidencialidad5
  2. Alcance y objetivo6
  3. Tráfico procesado durante el período7
  4. Eventos de seguridad detectados en el sitio www.Cliente.cl8
  5. 4.1 Clasificación de eventos según el nivel de acceso8
  6. 4.2 Clasificación de eventos según su criticidad9
  7. 4.3 Eventos en el nivel de aplicación10
  8. 4.3.1 Direcciones IP bloqueadas por ataques a la aplicación web12
  9. 4.3.2 Geolocalización de atacantes en el nivel de aplicación web13
  10. 4.4 Eventos por geolocalización14
  11. 4.4.1 Geolocalización de atacantes en el nivel de red14
  12. Principales direcciones IP de acceso web15
  13. Incidentes o actividades16
  14. Conclusiones16
  15. Anexo: Glosario17

1. ACUERDO DE CONFIDENCIALIDAD

icono-candado

A través de la presente se les comunica a ustedes que toda la información, documentación y/o conocimiento o cualquier otro antecedente de propiedad de la empresa, que con motivo del presente informe se pusiese a su disposición o tuvieren acceso a las mismas, se entiende para todos los efectos legales como “información confidencial”, en este sentido ITSec S.A. se obliga a mantener estricta confidencialidad y reserva y a no divulgar por ningún motivo o causa los contenidos de ellos; ni a utilizarla en su propio beneficio.

Esta obligación se hace extensiva a todos los funcionarios o empleados que formen parte de ITSec S.A. en adelante “ITSec”, sean o no dependientes, como también a sus socios y familiares.

Lo anterior incluye tanto la información documentada como verbal. La presente nota se entiende como parte esencial e integrante de nuestra presentación del proyecto.

INFORME DE SERVICIO C-TECH CONFIDENCIAL

2. ALCANCE Y OBJETIVO

El objetivo del presente documento es mostrar los datos de acceso al sitio web referente a seguridad, detallando los ataques detectados y bloqueados por el sistema durante el mes, indicando además los eventos ocurridos y la acción aplicada sobre cada uno de ellos. Nuestro servicio se convierte en el punto de revisión para los servicios web y las URL protegidas, filtrando todo tipo de ataques DDoS u otro tipo de intento de explotación de vulnerabilidades que las aplicaciones puedan recibir.

A continuación, se presenta a modo de resumen, el alcance de servicio para el aplicativo: www.cliente.cl.

DESCRIPCIÓNDATOS
Mes de servicioEnero 2024
URLwww.cliente.cl
IP pública del servidor web 11.1.1.1
Configuración de alta disponibilidad (HA)Activo
Apuntamiento DNSclientes.1800waf.com
IP pública WAF ITSec Nodo 1111.111.111.11
Monitor de contenido/
ObservacionesSin observaciones

3. TRÁFICO PROCESADO DURANTE EL PERIODO

Se presentan a continuación las gráficas del tráfico mensual del sitio procesado por el servicio Cloud WAF ITSec.

En la imagen número 1 se observa el gráfico correspondiente a los requests procesados.

Imagen número 1 – Gráfico de requests procesados en el mes del sitio www.cliente.cl.

La imagen número 2, muestra el tráfico aproximado del sitio, en el mes de enero con una transferencia de datos total de 7.116,1 MB.

Imagen número 2 – Gráfico de megabytes procesados en el mes del sitio www.cliente.cl.

4. EVENTOS DE SEGURIDAD DETECTADOS EN EL SITIO www.cliente.cl

Los eventos de seguridad para www.cliente.cl detectados por el servicio Cloud WAF de ITSec para el período monitoreado fueron los siguientes:

La tabla número 1, indica los eventos en base al nivel de acceso.

NIVEL DE ACCESOOCURRENCIASPORCENTAJE
Bloqueos Geolocalización2.87097,79%
Aplicación WEB652,21%

Tabla número 1 – Eventos en base al nivel de acceso.

La tabla número 2 indica las firmas de seguridad en base a su criticidad.

NIVEL DE ACCESOOCURRENCIASPORCENTAJE
Alta34,62%
Media34,62%
Baja5990,77%

Tabla número 2 – Firmas de seguridad en base a su criticidad.

4.1 CLASIFICACIÓN DE EVENTOS SEGÚN EL NIVEL DE ACCESO

Los eventos de seguridad tienen una clasificación de acuerdo con el nivel del modelo OSI, en el cual son empleados en la plataforma de protección WAF de ITSec. Existen dos niveles en donde se generan bloqueos de direcciones IP:

Protección WAF: Este nivel corresponde solo a la capa 7 del modelo OSI, que es básicamente el servicio que interactúa con el usuario a través del navegador web, en esta capa la protección es brindada por el WAF de ITSec que inspecciona el tráfico del protocolo HTTPS y detecta las actividades maliciosas hacia el servicio web, los eventos detectados en este nivel son clasificados como de “Criticidad Media y Alta”.

4.2 CLASIFICACIÓN DE EVENTOS SEGÚN SU CRITICIDAD

Los eventos de seguridad también tienen una clasificación de acuerdo con la criticidad de las firmas utilizadas. ITSec clasifica las firmas en 3 niveles que se detallan a continuación:

Criticidad Alta: Se categorizan como eventos de criticidad “Alta” aquellos que pueden afectar la confidencialidad, integridad y la disponibilidad del servicio; dentro de esta categoría se incluyen los siguientes ataques:

Criticidad Media: Se categorizan como eventos de criticidad “Media” los que pueden afectar la confidencialidad, o sean indicios de ataques dirigidos sofisticados, en esta categoría se incluyen las siguientes firmas:

Criticidad Baja: Se categorizan como eventos de criticidad “Baja” a los que indican un posible indicio de ataque mayormente generado por escaneos automáticos o por ser orígenes detectados como maliciosos. Dentro de esta categoría se incluyen los siguientes:

4.3 EVENTOS DE SEGURIDAD DETECTADOS EN EL NIVEL DE APLICACIÓN

El análisis de los eventos en este ítem corresponde a los eventos en la capa 7 de aplicación web para www.cliente.cl, clasificados como bajos, medios y altos.

A continuación, en la tabla número 3, se presenta un detalle de las firmas utilizadas en el período.

TIPO DE FIRMASEVERIDADCANTIDADPORCENTAJE
OS commandingAlta23,08%
DoS attemptAlta11,54%
Detection evasionMedia34,62%
Access violationBaja5889,23%
EnumerationBaja11,54%

Tabla número 3 – Detalle de firmas detectadas en el mes.

Gráfico número 1 – Representación gráfica de la tabla número 3.

El detalle de estas firmas detectadas por la plataforma WAF se muestra a continuación, donde se observa hacia qué path estuvo dirigida cada firma detectada, y cuál fue la cantidad de estos eventos durante el período informado.

SEVERIDADFIRMAPATHCANTIDAD
AltaOS commanding/testapi/captcha/2
AltaDoS attempt/registro-de-clientes/accountinfo1
MediaDetection evasion/siteauth/authenticate/openid/connect/authorize3
BajaAccess violation/xmlrpc.php16
BajaAccess violation/adminapp/styles/0e1c1675b60bc164.css4
BajaAccess violation/wp-login.php4
BajaAccess violation/adminapp/assets/icons/favicon-128x128.png3
BajaAccess violation/adminapp/assets/icons/favicon-16x16.png3
BajaAccess violation/adminapp/assets/icons/favicon-32x32.png3
BajaAccess violation/adminapp/assets/icons/favicon-96x96.png3
BajaAccess violation/adminapp/assets/js/monaco-editor/vs/loader.js3
BajaAccess violation/adminapp/favicon.ico3
BajaAccess violation/adminapp/main.99b4e0ab583c18b8.js3
BajaAccess violation/adminapp/polyfills.6964a17c0ad323bb.js3
BajaAccess violation/adminapp/runtime.dc1018bc11177fc.js3
BajaAccess violation/adminapp/vendor.56cf9a83951b85e6.js3
BajaAccess violation/adminapp/assets/icons/favicon-196x196.png3
BajaAccess violation/wp-admin.php1
BajaAccess violation/wp-config.php1
BajaEnumeration/nice_ports/trinity.txt.bak1

Tabla número 4 – Detalle de firmas detectadas en el periodo.

INFORME DE SERVICIO C-TECH CONFIDENCIAL

4.3.1 Direcciones IP bloqueadas por ataques a la aplicación web

De los eventos reportados durante el mes, se registró 3 bloqueos de dirección IP correspondientes a ataques de criticidad alta.

En la imagen número 3 se puede observar que la actividad de los bloqueos de IP durante el mes fue de 3 eventos.

Imagen número 3 – Bloqueos IP por eventos “altos” reportados en el mes.

4.3.2 Geolocalización de atacantes en el nivel de aplicación web

En la tabla número 5 se muestran las principales direcciones IP identificadas como orígenes de ataques sobre la aplicación web detectados durante el período, identificando la ciudad, país y organización a la cual corresponde.

IP ATACANTECANTIDADCIUDADPAÍSORGANIZACIÓN/ISP
192.168.210.219805Punta ArenasArgentinaDIRECTV
192.168.225.64372IquiqueChileGTI
192.168.201.89108ValparaísoChileTelefónica
192.168.71.188108La SerenaUruguayVTR
192.168.54.69105SantiagoBrasilTricom
192.168.147.10990AricaEcuadorClaro
192.168.255.12264TemucoColombiaMovistar
192.168.155.14462RancaguaVenezuelaEntel
192.168.45.2551AntofagastaBoliviaTigo
192.168.137.3349ConcepciónParaguayAxtel

Tabla número 5 – Detalle de las 10 IP orígenes de ataques, con mayor recurrencia sobre la aplicación web.

Gráfico número 2 – Representación gráfica de la tabla número 5.

4.4 EVENTOS DE SEGURIDAD DETECTADOS POR GEOLOCALIZACIÓN

El análisis de los eventos en este ítem corresponde a los eventos por geolocalización, clasificados como criticidad baja. Actualmente los países que están bloqueados para acceder al sitio del cliente son Azerbaiyán, Bosnia and Herzegovina, China, India, Irán, Iraq, Lao People’s Democratic Republic, Nigeria, Rusia, Yemen y Zimbabue.

Este ítem considera todos los eventos de geolocalización que corresponden al sitio www.cliente.cl. Se registraron 2.870 eventos que activaron firmas de seguridad, a los cuales se les procede a bloquear el acceso al sitio web.

4.4.1 Geolocalización de atacantes en el nivel de red

En la tabla número 6, se muestran los principales países (top 10) identificados como orígenes de los ataques en el nivel de geolocalización.

PAÍSCANTIDAD
China1.070
Rusia805
Singapur372
Rusia226
India145
Australia113
Irlanda30
Honduras20
Noruega20
Reino Unido8

Tabla número 6 – Detalle de los TOP 10 países.

Gráfico número 3 – Representación gráfica de la tabla número 6.

6. INCIDENTES O ACTIVIDADES

Durante el mes de enero no se presentaron incidentes de seguridad que comprometieran la confidencialidad o integridad del servicio web monitoreado y protegido para Cliente.

7. CONCLUSIONES

Durante el mes de enero 2024, se registraron 59 eventos de criticidad baja, 3 eventos de criticidad media y 3 eventos de criticidad alta. Todos los eventos fueron detectados y bloqueados por el sistema WAF en su capa de protección Web Application Firewall. Además, fueron detectados y bloqueados 2.870 eventos provenientes de países bloqueados por geolocalización en el WAF.

La información referida a la geolocalización de las direcciones IP es obtenida mediante el sitio www.iplocation.net.

8. ANEXO: GLOSARIO

A continuación, un glosario de términos usado en el presente documento:

— FIN DEL DOCUMENTO —